Computerbeveiliging - Hoe je bad guys buiten de deur houdt

"Fix It" voor buggy HCP protocol issue

12-06-2010, 11:55 door Bitwiper, 5 reacties
In de Windows XP (SP2 en SP3) code voor het verwerken van hcp:// URL's op Windows XP (SP2 en SP3) zit een fout, waardoor aanvallers door het openen van een webpagina, bekijken van een filmpje of het openen van een e-mail je PC kunnen overnemen.

Achtergronden op deze site: http://www.security.nl/artikel/33572/1/Google_onthult_ernstig_Windows_XP-lek.html en http://www.security.nl/artikel/33583/1/Microsoft_boos_over_Google%27s_zero-day_lek_in_Windows_XP.html. Zie daarnaast http://secunia.com/blog/103/.

Op http://www.microsoft.com/technet/security/advisory/2219475.mspx staat nu:
Note See Microsoft Knowledge Base Article 2219475 to use the automated Microsoft Fix it solution to enable or disable this workaround.
Dat artikel 2219475 vind je hier: http://support.microsoft.com/kb/2219475, vanaf die pagina kun je met een paar muisklikken het hcp: protocol uitzetten, en mocht er iets belangrijks niet meer werken (lijkt me stug, in elk geval in Windows 7 wordt dat hcp protocol niet meer ondersteund), kun je het hcp protocl weer aanzetten.

Ik raad PC gebruikers thuis en op kleinere bedrijven zonder vaste systeembeheerders aan om deze patch te draaien, reken maar dat er op korte termijn malware verschijnt die gebruik maakt van deze kwetsbaarheid.

Aanvulling 2010-08-15 15:55: zie m'n bijdrage van 2010-08-15 15:50 verderop met info over het effect van MS10-042 op de hieronder beschreven Microsoft Fix It's 50459 en 50460.
Reacties (5)
12-06-2010, 14:28 door Bitwiper
On http://support.microsoft.com/common/survey.aspx?scid=sw;en;1592&cid=50459&P2=50459&ct=fxit&P0=fxit&showpage=1 Microsoft feedback can be entered with respect to Fix It solutions. However, unfortunately the edit-box provided is limited to just a few lines. Therefore I post my comments here, and I've posted the URL to this page in Microsoft's feedback page.

Here are my comments:
Dear Microsoft Fix It team,

Thanks for providing "Fix It" solutions. However there is room for improvement.

1) After one or more rounds of Windows Updates it is unclear whether any Fix It solutions (both security and non-security related) have to be applied to new or re-installed PC's. Maybe I'm overlooking things but Fit It web pages seem not to be updated after a full/final Microsoft Update patch (or SP) is released, and the monthly security bulletins do not seem to mention something like "this patch replaces Fix It number nnn".
Better yet, I would like it very much if Microsoft would provide a web page with a table listing all security-related Fix-It patches, to which OS/SP they apply, and whether a subsequent patch or SP has rendered the Fix-It solution useless/obsolete.

2) Furthermore it is not clear whether FixIt solutions must be undone (uninstalled) before applying patches, SP's or updating to a new OS. This leaves its users in the dark.

3) Less relevant but annoying: when I clicked "Click to read more about Microsoft Fix it", MSIE started, which is not my default web browser. Next MS IE prompted me with a warning regarding some not-installed plugin.

4) The webpaged that opened was http://support.microsoft.com/fixit?fi=50459#tab0. Unfortunately, an overview of SECURITY Fix It's seems not to be available.

5) At the bottom of that page it reads: "view the Fix it Solutions Page" which points to http://support.microsoft.com/?scid=https%3a%2f%2ffixit.support.microsoft.com%2freporting. That page currently (2010-06-12 14:15 +0200) says: "HTTP Error 503. The service is unavailable." The same applies when changing https into http.

6) Please provide a larger edit box for feedback (one that does not silently discard entered text).

Thanks,
Bitwiper
12-06-2010, 14:52 door Bitwiper
I'll add an example: consider "Microsoft Fix it 50256" in KB 971778 (http://support.microsoft.com/kb/971778/en-us, Article ID: 971778 - Last Review: July 8, 2009 - Revision: 4.2) with respect to a "Vulnerability in Microsoft DirectShow could allow remote code execution".

That web page (KB 971778) mentions at the top:
To view the security advisory, visit the following Microsoft Web site:
http://www.microsoft.com/technet/security/advisory/971778.mspx
however the KB 971778 web page reveals no indications whatsoever whether the Fix It solution is still necessary or has become irrelevant after applying the patch described in Advisory 971778.

Furthermore, http://www.microsoft.com/technet/security/advisory/971778.mspx (Published: July 14, 2009 | Updated: August 19, 2009, Version: 2.0) does not mention the Fix It solution at all, nor provides a link back to KB 971778.

So, if I re-install Windows on a PC and apply all available patches and service packs, which security "Fix It" solutions should I subsequently apply to fully secure the PC?
12-06-2010, 17:05 door [Account Verwijderd]
[Verwijderd]
12-06-2010, 18:32 door Spiff has left the building
Ook van mij bedankt, Bitwiper.
Diverse van die zaken die je hebt aangekaart bij het Microsoft Fix It team vroeg ik me eerder ook al af.

En aan Peter V:
Zou mogelijk Vista zonder SP1 misschien kwetsbaar kunnen zijn voor dat probleem?
Of het zit 'm erin dat Vista zonder SP1 sinds kort niet meer ondersteund wordt.
Of toch een foutje van Microsoft.
15-08-2010, 15:50 door Bitwiper
Na het draaien van MS10-042 (op 2010-07-13 verspreid via automatische updates) is het (met de huidige kennis van zaken omtrent kwetsbaarheden in HelpCtr.exe en HelpSvc.exe, maar wie weet wat de toekomst brengt) niet meer nodig om Fix-It 50459 te draaien. Zie de samenvatting onderaan deze bijdrage als de details je niet interesseren.

Hoe zit het precies (zojuist uitgezocht en experimenteel vastgesteld):

[1] Microsoft Fix-It 50459 (te vinden op http://support.microsoft.com/kb/2229593) wijzigt informatie in het register als volgt, eerst oorspronkelijke situatie van voor het draaien van Fix-It 50459:
Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\HCP]
@="Help Center Pluggable Protocol"
"URL Protocol"=""
"EditFlags"=dword:00000002
"FriendlyTypeName"="@C:\\WINDOWS\\PCHealth\\HelpCtr\\Binaries\\HCAppRes.dll,-2100"

[HKEY_CLASSES_ROOT\HCP\shell]

[HKEY_CLASSES_ROOT\HCP\shell\open]

[HKEY_CLASSES_ROOT\HCP\shell\open\command]
@="\"C:\\WINDOWS\\PCHealth\\HelpCtr\\Binaries\\HelpCtr.exe\" -FromHCP -url \"%1\""
Na het draaien van Microsoft Fix-It 50459:
Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\HCP]
@="Help Center Pluggable Protocol"
"URL Protocol"=""
"EditFlags"=dword:00000002
"FriendlyTypeName"="@C:\\WINDOWS\\PCHealth\\HelpCtr\\Binaries\\HCAppRes.dll,-2100"
Met andere woorden, na het draaien van Microsoft Fix-It 50459 zal er als gevolg van een hcp:// URI geen HelpCtr.exe meer worden opgestart.

[2] Het draaien van http://www.microsoft.com/technet/security/bulletin/MS10-042.mspx (verspreid via automatische updates van 2010-07-13) verandert niets aan de registersleutel HKEY_CLASSES_ROOT\HCP! Het vervangt uitsluitend het bestand C:\Windows\System32\HelpSvc.exe. Als je eerder Fix It 50459 gedraaid hebt, en weer volledige support wilt voor het hcp:// protocol (zodanig dat HelpCtr.exe gestart wordt) zie dan punt [3] hieronder. N.b. als de ("hidden") map C:\WINDOWS\$NtUninstallKB2229593$ bestaat op je systeem kun je er normaal gesproken vanuit gaan dat MS10-042 gedraaid heeft.

[3] Het draaien van Microsoft Fix-It 50460 (ongedaan maken van 50459) zowel in de laatste situatie (dus zonder de "shell" subkey), als met een geheel ontbrekende HCP subkey (dat is de workaround die in http://www.microsoft.com/technet/security/bulletin/MS10-042.mspx wordt voorgesteld), leidt weer tot het volgende:
Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\HCP]
@="Help Center Pluggable Protocol"
"URL Protocol"=""
"EditFlags"=dword:00000002
"FriendlyTypeName"="@C:\\WINDOWS\\PCHealth\\HelpCtr\\Binaries\\HCAppRes.dll,-2100"

[HKEY_CLASSES_ROOT\HCP\shell]

[HKEY_CLASSES_ROOT\HCP\shell\open]

[HKEY_CLASSES_ROOT\HCP\shell\open\command]
@="\"C:\\WINDOWS\\PCHealth\\HelpCtr\\Binaries\\HelpCtr.exe\" -FromHCP -url \"%1\""
Kortom:
- De Microsoft Fit It's 50459 en 50460 alsmede automatic update MS10-042 hebben uitsluitend betrekking op XP en Server 2003 (alle versies, ook 64 bit).

- MS10-042 patched de feitelijke (nu bekende) kwetsbaarheid door C:\Windows\System32\HelpSvc.exe te vervangen. Als je eerder Microsoft Fit It's 50459 hebt gedraaid: MS10-042 maakt die niet ongedaan.

- Met de Microsoft Fit It's 50459 en 50460 kun je, onafhankelijk van of je MS10-042 wel/niet gedraaid hebt, het hcp:// protocol effectief disablen of weer enablen (disablen bijv. om toekomstige kwetsbaarheden in helpsvc.exe of HelpCtr.exe alvast te voorkomen, iets zegt me dat dit niet het laatste is dat we op dit punt gezien hebben, en MS heeft -erg laat- besloten dat help via http in de webbworser, in elk geval vanuit security oogpunt, kennelijk toch niet zo'n heel goed idee was...)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search